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Common cryptographic key establishment method for subscribers involves 
successively combining two known secret values into a new common value 
throughout using Diffie-Hellmann technique 

DEUT TELEKOM AG 1998. 10.09 1998DE-1 047941 

W01 (2000.04.13) H04L 9/30 
Novelty: The meth'od involves using the Diffie-Hellmann or DH technique. A leaf of 
a binary structured tree with exactly n leaves and depth log 2 n is allocated to each of 
the n subscribers (A,B,C). A secret value is generated for each subscriber, and is 
associated with the relevant leaf. Secret values are established successively towards the 
tree root for all nodes of the tree, in which two known values are always combined 
into a new common value. This is done throughout using the DH technique, and is 
associated with a common node so that the last node (KW), and hence the root, 
contains the common key for all subscribers. 

Use: For establishing a common cryptographic key for subscribers to guarantee the 
security of messages to be transmitted to the subscribers exclusively over insecure 
communications channels. 

Advantage: Enables subscribers to be removed from or added to the key list even 
after establishing the group key without great cost. 

Description of Drawing(s): The drawing illustrates the working principle of the 

method and a tree structure for three subscribers 

Subscribers A,B,C 

Nodes Kl.KW 
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® Verfahren zum Etablieren eines gemeinsamen krytografischen Schlussels fur n Teilnehmer 

® Das Verfahren soli so ausgebildet warden, dali auch 
nach dem Etablieren des Gruppenschlussels ohne gro- 
Ben Aufwand Teilnehmer aus dem Schlusselverzeichnis 
geloscht oder hinzugefugt warden konnen. 
ErfindungsgemaB wird jedem der n Teilnehmer (I) jeweils 
ein Blatt eines binar strukturierten Baumes, der genau n 
Blatter und die Tiefe [log2nl besitzt, zugeordnet. Fur jeden 
Teilnehmer (I), der ein Geheimnis (i) generiert und dem 
Blatt des Baumes zugeordnet wird, wird auch der jeweili- 
ge Teilnehmer (I) zugeordnet. Nacheinander warden in 
Richtung der Baumwurzel fur alle Knoten (K) des Baumes 
Geheimnisse etabliert, wobei immer zwei be re its beka no- 
te Geheimnisse uber das DH-Verfahren zu einem neuen 
gemeinsamen Geheimnis zusammengefafit werden. Der 
letzte Knoten enthalt den gemeinsamen Schlusset al- 
ler n Teilnehmer. 

Das erfindungsgemaBe Verfahren laBt srch vorteilhaft zur 
Erzeugung eines kryptografischen Schlussels fur eine 
| Gruppe von Tail nehmern einsetzen, deren Teilnehmerzahl 
Anderungen unterworfen ist. 
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Beschreibung 

°f e f " d u 'Wf e Ve rf^n dtent der Erzeugung und dem Etablieren eines gemeinsamen kryptografischen 
Schlussels rur n Teilnehmer zur Gewahrleistung der Geheimhaltung von Nachrichten, die Uber unsichere Kommunikati- 
onskanale ausschlieBlich an die n Teilnehmer ubertragen werden solien. 

Zum Schutz der Vertraulichkeit und Integritat der Kommunikation zwischen zwei oder mehr Personen werden die Me- 
chanismen der Verschlusselung und Authentisierung eingesetzt. Diese erfoidern allerdings das Vbrhandensein einer ge- 
Kich^ en 0rmatl0n aUen Teilneh mern. Diese gemeinsame Information wird als kryptographischer SchlUssel be- 

Hn bekanntes ^rfahxen zum Etablieren eines gemeinsamen Schlussels iiber unsichere Kommunikationskanale ist das 
t 1^°° D,f ? C Und HeUman (DH-Verfahren vergleiche W. Diffie und M. Heliman, New Directions in Cryptogra- 
phy, lEEETransactions, on Information Theory, IT-22(6): 644-654, November 1976) 

Grundlage des Diffie-Hellmann-Schlusselaustauschs (DH76) ist die Tatsache, daB es praktisch unmoglich ist Log- 
anthmen modulo einer groBen Primzahl p zu berechnen. Dies machen sich Alice und Bob in dem unten abgebildeten Bei- 
Xt, \Tl ' ln ^ m J e ^} s e ! ne ^ * bzw. y kleiner als P (und teilerfremd zu p-1) geheim wahlen. Dann senden sie 
sicn (nacheinander oder gleichzeiug) die x-te (bzw. y-te) Potenz einer offentlich bekannten Zahl a zu. Aus den empfan- 
genen Potenzen konnen sie durch erneutes Potenzieren mit x bzw. y einen gemeinsamen Schlussel K: = a*' berechnen 
Em Angreifer, der nur a* und a* sieht, kann daraus K nicht berechnen. (Die einzige heute bekannte Methode dazu be- 
stunde dann, zunachstden Logarithmus z. B. von a* zur Basis a modulo p zu berechnen und dann a'damit zu potenzie- 



20 ren.) 

Beispiel fur Diffie-Hellrnann-Schliisselaustausch 

Alice Bob 
25 wahlt x geheim 

> 

y 

a 



Bildet K: = ( a 5 )" = a** BHdet K: =( a y = a xy 

„, I ? aS M P ^ bIe ! n n b l i d ! m "? BeiSpiel beschriebenen DH-Schliisselaustausch besteht darin, daB Alice nicht weiB, ob sie 
tatsachheh mit Bob oder nut emem Betriiger kommuniziert. In IPSec wird dieses Problem durch den Einsatz von Public- 
v 7 « u, - *? 86 ™ en durch eine ve «rauenswiirdige Instanz die Identitat eines Teilnehmers mit einem offent- 

hchen Schlussel verknupft wird. Dadurch wird die Identitat eines Gespracbspartners iiberprufbat 
K"«n^™ ^^^T"^ k T aUCh P". 1 andere " mathematisc hen Strukturen realisiert werden, z. B. mit endlichen 
Korpern GF(2 ) oder elliptischen Kurven. Mit diesen Altemativen kann man die Performance verbessern. Dieses Verfah- 
ren ist allerdings nur zur Vereinbarung eines Schlussels zwischen zwei Teilnehraern geeignet 

rf^n^«/% SChie 1^ e J X er f U . Che T ternonunen> DH- Verfahren auf drei oder mehr Teilnehmer zu erweitern 
^ruppen DH). (Einen Uberbhck uber den Stand der Technik bietet M. Steiner, G. Tsudik, M. Waidner, Diflie-Hellrnan 

Sri^t? ?5£ f^^™P C °™*™<**™- Proc. 3 rd ACM Conference on Computer and Communications Se- 
cunty, Marz 1 996, Neu Delhi, Indien.) 

Eine Erweiterung des DH-Verfahren auf drei Teilnehmer A, B und C wird z. B. durch nachfolgende Ubelle bescbrie- 
ben. (Berechnungjeweils mod p): 





A-»B 


B-»C 


C -> A 


so 
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nen ^ aCh Durchfahrun g &*er b eiden Runden kann jeder der drei Teiinehmer den geheimen Schlussel g^ mod p berech- 
60 Bei alien diesen Erweiterungen tritt mindestens eines der drei folgenden Probleme auf: 

- Die Teilnehmer miissen in einer bestimmten Art und Weise geordnet sein, im obigen Beispiel z. B als Kreis 

- Die Teilnehmer haben gegenuber der Zentrale keinen EinfluB auf die Auswahl des Schlussels 

- Die Rundenzahl ist abhangig von der Teilnehmerzahl 

Hn weiteres Verfahren zum gemeinsamen Etablieren eines Schlussels ist aus DE 195 38 385.0 bekannt. Bei diesem 
Verfahren muB die Zentrale allerdings die geheimen Schlussel der Teilnehmer kennen. 

Weiterhin ist eine Losung aus Burmester, Desmedt, A secure and efficient conference key distribution system Proc 
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EUROCRYPT94, Springer LNCS, Berlin 1994 bekannt, bei der zwei Runden zur Generierung des SchlUssels benOtigt 
werden, wobei in der zweiten Runde durch die Zentrale fur n Teilnehmer n Nachrichten der Lange p = ca, 1000 Bit ge- 
sendet werden mUssen. 

Bekannt ist auch ein als (n,t)-T>ireshold- Verfahren bezeichnetes kryptograflsches Verfahren. Mit einem (n.t)-Th res- 
hold- Verfahren kann man einen SchlUssel k so in t Teile, die shadows genannt werden, zerlegen, da6 dieser SchlUssel k 5 
aus je n der t shadows rekonstruiert werden kann (vgl. Beutelspacher, Schwenk, Wolfenstetter Modeme verfahren der 
Kryptographie (2. Auflage), Vieweg Verlag, Wiesbaden 1998). 

Das vorliegende Verfahren soil das Etablieren eines gemeinsamen GruppenschlUssels zwischen einer Zentrale und ei- 
ner Gruppe von n Teilnehmern ermoglichen. Das Verfahren soil so ausgebildet werden, daB auch nach dem Etablieren 
des GruppenschlUssels ohne groBen Aufwand Teilnehmer aus dem Schliisselverzeichnis geloscht oder hinzugefUgt wer- 10 
den konnen. 

Die Aufgabenstellung wird durch eine \ferfahren gelost, bei welchem das Etablieren eines GruppenschlUssels mit 
Hilfe einer Baumstruktur vorgenommen wird. ErfindungsgemaB wird dazu die Anzahl der an der SchlUssel vereinbarung 
beteiligten Teilnehmer n als binarer Baum mit n Blattern darstellen. Fur jede naturliche Zahl n gibt es ein oder mehr Dar- 
stellungen dieser Art. Die Anzahl der Blatter ist dabei mit der Anzahl der in das Verfahren einbezogenen Teilnehmer 15 
identisch. Das bedeutet, daB einer Anzahl von n Teilnehmern eine Anzahl von n Blatter eines binaren Baumes mit der 
Tiefe [log 2 n] zugeordnet ist. 

Fig. 1 zeigt das Wirkprinzip des erfindungsgemaBen Verfahrens anhand der Baumstruktur einer Schlusselvereinba- 
rung fUr drei Teilnehmer A, B, C. 

Um einen gemeinsamen SchlUssel zu etablieren, gehen die Teilnehmer A, B und C wie folgt vor. 20 

- Teilnehmer A und B fuhren ein DH- Verfahren mit nach dem Zufallsprinzip generierten Zahlen a und b durch. Sie 
erhalten den gemeinsamen SchlUssel kl = g** mod p, der dem gemeinsamen Knoten Kl zugeordnet wird. 

- Teilnehmer A und B auf der einen und Teilnehmer C auf der anderen Seite fUhren ein zweites DH- Verfahren 
durch, welches auf dem gemeinsamen SchlUssel kl der Teilnehmer A und B und auf einer nach dem Zufallsprinzip 25 
generierten Zahl c des Teilnehmers C beruht. Das Ergebnis ist der gemeinsame SchlUssel k = g* 1 " c mod p, der der 
Wurzel des Baumes K w zugeordnet wird. 

Das erfindungsgemaBe Verfahren wird anhand von AusfUhrungsbeispielen naher erlautert. 

In Fig. 2 ist die Baumstruktur fur eine SchlUsselvereinbarung fUr vier Teilnehmer A, B, C und D dargestellt. 30 
Fig. 3 zeigt die Baumstruktur einer SchlUsselvereinbarung Rir 5 Teilnehmer A, B, C, D und E. 

Fig. 4 zeigt, ausgehend von einer bereits bestehenden Baumstruktur nach Fig. 2, ein Beispiel fur die Erweiterung der 
Baumstruktur um einen Teilnehmer. 

Fig. 5 zeigt, ausgehend von einer bereits bestehenden Baumstruktur nach Fig. 2, das Entfernen/Loschen eines Teilneh- 
mers aus der Baumstruktur. 35 

Nachfolgend wird anhand von Fig. 2 ein Beispiel einer SchlUsselvereinbarung fur vier Teilnehmer A, B, C und D be- 
schrieben: 

Um einen gemeinsamen SchlUssel fUr vier Teilnehmer (Fig. 2) zu etablieren, gehen Teilnehmer A, B, C und D wie 
folgt vor: 

40 

- Teilnehmer A und B fUhren ein DH- Verfahren mit nach dem Zufallsprinzip generierten Zahlen a und b durch. Sie 
erhalten den gemeinsamen SchlUssel kl = g 4 * mod p. 

- Teilnehmer C und D fuhren ein DH- Verfahren mit zufallig gewahlten Zahlen c und d durch. Sie erhalten den ge- 
meinsamen SchlUssel k2 = g cd mod p. 

- Teilnehmer A und B auf der einen und Teilnehmer C und D auf der anderen Seite fUhren gemeinsam ein zweites 45 
DH- Verfahren durch, in welches von Teilnehmer A und B der SchlUssel kl und von Teilnehmer C und D der SchlUs- 
sel k2 einbezogen werden. Das Ergebnis ist der gemeinsame SchlUssel k w = g kl k2 mod p, welcher der Wurzel des 
Baumes Kw zugeordnet ist. 

Nachfolgend wird anhand von Fig. 3 ein Beispiel einer SchlUsselvereinbarung fUr funf Teilnehmer A, B, C, D, und E 50 
beschrieben: 

Um einen gemeinsamen SchlUssel zu etablieren, gehen die Teilnehmer A, B, C, D und E wie folgt vor 

- Teilnehmer A und B Fuhren ein DH- Verfahren mit zufallig gewahlten Zahlen a und b durch. Sie erhalten den ge- 
meinsamen SchlUssel kl = g 8 ** mod p. 55 

- Teilnehmer C und D fuhren ein DH- Verfahren mit zufallig gewahlten Zahlen c und d durch. Sie erhalten den ge- 
meinsamen SchlUssel k2 = g cd mod p. 

- Teilnehmer A und B auf der einen Seite und Teilnehmer C und D auf der anderen Seite fuhren gemeinsam ein 
zweites DH- Verfahren durch, in welches von Teilnehmer A und B der gemeinsame SchlUssel kl und von Teilneh-. 
mer C und D der gemeinsame SchlUssel k2 einbezogen werden. Das Ergebnis ist ein gemeinsamer SchlUssel k3 = 60 
g^ 1 * k2 mod p fUr die Teilnehmer A, B, C und D. 

- Die Teilnehmer A, B, C und D auf der einen Seite und der Teilnehmer E auf der anderen Seite fuhren ein drittes 
DH- Verfahren durch, in welches der gemeinsame SchlUssel k3 der Teilnehmer A, B, C und D und eine fUr den Teil- 
nehmer E generierte Zufallszahl e einbezogen werden. Das Ergebnis ist der gemeinsame SchlUssel kw = g* 3 c mod 

p, der der Wurzel des Baumes K w zugeordnet ist, 65 

Aufgrund der Struktur des erfindungsgemaBen Verfahrens ist es mSglich, neue Teilnehmer mit einzubeziehen bzw. 
einzelne Teilnehmer auszuschlieBen, ohne das ganze Verfahren fUr jeden Teilnehmer noch einmal durch fuhren zu mUs- 
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30 



Das Einfugen eines neuen Teilnehmers wird anhand einer Baumstruktur mit vier Teilnehmem nach Fig. 4 naher eriau- 
£2fi- !T" TS"- ! ,ne Baumstruktur entsprechend Fig. 2 in welche eine neuer Teilnehmer bei Blatt B ein- 

Slr r 7 n h S °- ^ H ™. zunahn \ e e,nes neuen Teilnehmers in eine bereits bestehende Baumstruktur, die fiber ein ge- 
^i^n ^^J^SMen zun. Etablieren eines neuen gemeinsamen Schliissels fur n+l Teilnehmer an einer 
S£ H Jf^f? ^T^ (BI * ,t B VOI B e « eben ) ^ei neue Blatter Bl und B2 angefugt. Der neue Baum be- 

SStSi n d 46 ^ , tlo ^ n+1 )J- Der dem BlaU B zugeordnete TeimehmJr wird einem der neue 

wird^u e l^K^n^r™* n^u? "^J?™ n0ch ^ Blatt B2 ^geordnet. Das bisherige Blatt B 

VtoJSZZT * ^ ~ B1 " nd B2> Aus 8 ehend von den "euen Blattem Bl und B2 werden bis hin zur 

7J^T uvT^ m f% n , KDOt Z n K neue <«"inini»e etabliert, die im Rahmen der Baumstruktur auf dem Weg von 
den neuen Blattem Bl und B2 zur Wurzel des Baumes K w liegen. Das sind im konkreten Fall die Knoten Kl, K2 und 

fj* ' 6k . An *^ 1 der ^.^ehmer eine Zweierpotenz, so erfadht sich die Tiefe des Baumes durch diesen Vorgang um 1 
(ygl. vorhergehendes Beispiel). 1st die Anzahl der Teilnehmer keine Zweierpotenz, so kann durch geschicktf WaMdes 
aufzuteilenden Blattes e.ne VergrSBerung der Tiefe vermieden werden, wie das folgende Beispiel zfigt 
ttaJiSrSS^Sr^T" TeilDehraer " ** TeilDehmem *—«■-. geht man (ausgehend von der Situa- 

yJ^nf^^A^u^ 1 , dem n f U hin2 ; u g ek °ninienen Teilnehmer D ein DH-Verfahren mit zufaUig generierten 
Zanlen c und d durch (c sollte sich von dem vorher gewahlten c unterscheiden, dies muB aber nicht der Fall sein) 
uas Urgebnis ist k2 = g cu mod p. 

- Teilnehmer A und Teilnehmer B auf dereinen und Teilnehmer C und D auf der anderen Seite fuhren ein DH-Ver- 
fahren nut den Werten kl und k2 durch. Das Ergebnis ist k=g kl k2 ' mod p. 

rrlf m,f inCr dera ? i8e -? Konfiguration mussen die Teilnehmer A und B keinen neuen Schlusseltausch durchfuhren. Gene- 
TeiTh^rz'ur WuS "en. 6 " ^ ^ " "* *" ^ ^ ™ 

Das AusschlieBen bzw. Ldschen eines Teilnehmers wird anhand einer Baumstruktur mit vier Teilnehmem anhand von 
werden Si Ausgangssiluation ist dabei eine Baumstruktur entsprechend Fig. 2, aus der Teilnehmer B entfemt 

a.S« AUSS< ? li 1 ! Ben bZW 52 m ^i 16 " dneS Teil " ehmers B aus einer bereits bestehenden Baumstruktur, die liber ein 
rr u ch X eS R V^ hT Werde " ^ ^ F,g ' 5 aus S efiihrt . das Blatt des zu entfernenden Teilnehmers B 

v, i g 1 "^? gemeinsamen Knoten Kl zugeordneten Teilnehmers A entfemt. Der gemeinsame 

EbTuS h zu ™ neue , n Bla " ' des der Baumstmktur verbleibenden Teilnehmers A. Ausgehend von den bTS 
des Baumes bis zur Wurzel K w werden nur in den Knoten K neue Geheimnisse etabliert, die vom neuen Blatt A' im Rah- 
men der Baumstruktur m Richtung Wurzel K w unmittelbar tangiert werden. Das ist im konkreten Fall nur der Wurzel- 
rTtlnZ^™* TP™ Ko f^ on mussen ^ Teilnehmer C und D keinen neuen Schlusseltausch durchfuh- 
Xr t P^rrfn aUC .f ? <f nelmmsse neu vereinbart werden, die imzugehorigen Baum auf dem Weg vom 

Blatt des Partners des entfemten Teilnehmers zur Wurzel liegen. 6 

Das Verfahren kann in vielfacher Hinsicht zweckmaBig weiter ausgestaltet werden- 
^Fur die Bildung derdiskreten Exponentialfunktion x — g* bietet sich beispielsweise die Verwendung andererGruppen 

n« B ™ n™^ 86 " ^"f" Cines Teiln ehmers kann beispielsweise vereinbart werden, daB fur die notwendigen 
43 Z^S^SSZZ^S^ DiCht ^ *- Geh — • SO " dem *» — W -domisfer- 

Patentanspriiche 

™rns« kryptografischen SchlUs^ls fur n Ifeilnehmer unter Anwendung 

- daB jedem der n Teilnehmer (I) jeweils ein Blatt eines binar strukturierten Baumes, der genau n Blatter und 
die Tlefe [log 2 n] besitzt, zugeordnet wird, 

- daB fur jeden Teilnehmer (D ein Geheimnis <i) generiert und dem Blatt des Baumes zugeordnet wird, dem 
auch der jeweilige Tfeilnehmer (I) zugeordnet ist, 

- daB nacheinander in Richtung der Baumwurzel fur alle Knoten <K) des Baumes Geheimnisse etabliert wer- 
den, wobei ausgehend von den Blattem entsprechend der festgelegten Baumstruktur iiber die gesamte Hierar- 
chy der Baumstruktur immer zwei bereits bekannte Geheimnisse iiber das DH-Verfahren zu einem neuen ee- 
memsamen Geheimnis zusammengefaBt und einem gemeinsamen Knoten (K) zu geordnet werden, so daB der 

60 e^aU ° ten Un Baumwurze1 ' 315 ^^eimnis den gemeinsamen Schiiissel aller n Teilnehmer 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 

- daB bei Aufnahme eines neuen Teilnehmers in eine bestehende Baumstruktur, die bereits iiber ein gemein- 
sames Geheimnis verfiigt, zum Etablieren eines gemeinsamen Schlussel fur n+l Teilnehmer an geeieneter 
Stelle des binaren Baumes einem Blatt (B) als Nachfolger zwei neue Blatter (Bl und B2) angefugt werden so 

65 daB der neue Baum genau n+l Blatter und die Tiefe [log 2 <n+l)] besitzt, 

R t £f d ^ 1 d To!' iSherig J 1 BlaU ^ } z^™^* Teilnehmer und der neue Teilnehmer jeweils einem der neuen 
ni ^ S J ; »l\ ZUg !° rdnet werden ' wobei ^ bisherige Blatt B zu einem gemeinsamen Knoten fiir die neuen 
Blatter (Bl; B2) wird, 
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- daB ausgehend von den neuen Blattern (Bl; B2) bis zur Wurzel des Baumes nur in den Knoten neue Ge- 
heimnisse etabliert werden, die im Rahmen der Baumstruktur auf dem Weg von den Blattern Bl und B2 zur 
Baumwurzel liegen. 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 

- daB bei AusschlieBung eines Teilnehmers (B) aus einer bereits bestehenden Baumstruktur die bereits ilber 
ein Geheimnis verfugt, sowohl das BLatt des zu entfernen den Teilnehmers (B) t als auch daB Blatt des dem glei- 
chen gemeinsamen Knoten zugeordneten Teilnehmers (A) entfernt werden, 

- daB der gemeinsame Knoten zura Blatt des nicht zu entfernende Teilnehmers A wird, und daB ausgehend 
von den Blattern des Baumes bis zur Wurzel nur in den Knoten neue Geheimnisse etabliert werden, die im 
Rahmen der Baumstruktur auf dem Weg vom neuen Blatt (A) zur Baumwurzel liegen. 
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